En los últimos meses, el grupo de ransomware Black Basta ha adoptado nuevas tácticas para infiltrarse en redes corporativas, esta vez utilizando Microsoft Teams para suplantar al soporte de TI. Según un informe de ReliaQuest, los atacantes contactan a los empleados a través de Teams, haciéndose pasar por el equipo de soporte técnico de la empresa para «ayudarles» con un supuesto ataque de spam.
Black Basta, activo desde abril de 2022, ha sido responsable de cientos de ataques a empresas en todo el mundo. Tras la disolución del sindicato de ciberdelincuencia Conti en junio de 2022, varios de sus antiguos miembros formaron nuevos grupos, uno de los cuales es Black Basta.
Black Basta satura tu correo y después te contacta por Microsoft Teams
Los atacantes comienzan enviando miles de correos electrónicos a los empleados, saturando sus bandejas de entrada con boletines, confirmaciones de registro y verificaciones de correo. Una vez que el empleado está abrumado por el spam, los atacantes contactan a la víctima a través de Teams, haciéndose pasar por el soporte técnico de la empresa. Durante la conversación, convencen a la víctima de instalar herramientas de acceso remoto como AnyDesk o proporcionar acceso directo a su computadora usando Windows Quick Assist.
Una vez dentro del sistema, los atacantes instalan varias herramientas para mantener el acceso remoto, como ScreenConnect, NetSupport Manager y Cobalt Strike. Con estas herramientas, pueden moverse lateralmente por la red, elevar privilegios, robar datos y finalmente desplegar el ransomware.
ReliaQuest recomienda restringir la comunicación con usuarios externos en Microsoft Teams y estar atentos a nombres de usuario que contengan términos como «Help Desk» o «Soporte Técnico». Además, es crucial que las empresas implementen medidas de seguridad adicionales, como la autenticación multifactor (MFA) y la capacitación en ciberseguridad para los empleados.
Black Basta sigue evolucionando sus tácticas, y es fundamental que las organizaciones estén preparadas para enfrentar estos nuevos desafíos. La combinación de ingeniería social y herramientas de acceso remoto hace que estos ataques sean cada vez más sofisticados y difíciles de detectar.
